浅谈中小企业信息安全问题及解决措施

【摘要】：随着我国信息技术的飞速发展，中小企业的信息安全的保护问题越来越受到中小企业主的关注，本文以中小企业信息安全为主体，介绍中小企业在信电子商务中遇到的主要安全问题，并找出解决中小企业信息安全问题的解决方案。

【关键词】：信息安全 ；问题；解决方案

【引言】：在中小企业的信息管理系统中存在大量的信息和文件材料，其中有对企业发展至关重要的文件材料，一旦这些信息材料在通过网络传送时被不法分子和竞争对手窃听、泄密、篡改或伪造，将会严重威胁中小企业的发展，所以，提出中小企业信息安全问题的解决方案具有重要意义。

1. 中小企业信息安全存在的问题

1.1信息安全管理意识不强。

相对大型企业来说，中小企业信息资产方面的积累相对较为薄弱，并且很多时候这种积累并非企业的有意识行为，所以在正常的信息化应用情况下，往往会忽视对自己信息资产的保护，而只有在信息资产受到破坏，形成了实际的经济和附加损失的情况下，才会开始意识和重视这信息安全问题。

1.2信息安全管理水平较低信息安全风险较大。

目前的中小企业管理层人员虽然已经认识到了信息化的重要性，但却没有认识到企业信息化管理是需要在企业管理念上进行根本变革才能实现的。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造，结果造成一种信息化的假象，致使“信息化”走向了徒有其表的误区，信息安全也没有得到足够重视。

1.3人才短缺专业人员匮乏。

中小企业一般很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此，在这种人才短缺的情况下，自然影响到企业信息化的进程。主要表现为：企业一般没有自己的信息化建设人才队伍。信息技术专业人员的知识结构也不能达到要求，掌握技术的不懂管理，懂管理的又不会技术，而且信息安全往往没有专业人员进行管理。

1.4资金短缺。

中小企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金，一般要优先投入到直接促进公司业绩增长的方向，而无形中就造成了信息资产所面临的巨大风险；特别是在当今越来越多的企业业务与互联网有密切的联系，甚至一些企业的业务完全建立在互联网之上，以平均不到企业总收入1%的信息安全投入，怎么能保障这些业务的正常运行？尽可能使投入比例接近常规，至少应该使企业核心信息资产的安全得到保证，从实际情况来讲，在良好的安全理念指导下，进行细致的规划和评估，通过适当的投入也是可以达到较好的整体效果，因为在中小企业的应用情境下，信息安全防御广度是相对容易控制的；设计出体现其规律和特点的真正适合中小企业的信息安全产品，才能从根本上满足中小企业信息安全需求。

1.5中小企业的信息伦理意识不强。

由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在很多时候，企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中员工的信息安全意识往往相对比较落后，对于互联网上存在的威胁往往缺乏足够的重视，而企业的管理层对于网络的使用也没有很好的管理手段。

2.中小企业信息安全问题的解决措施

2.1从企业的自身情况考虑

要解决中小企业网络信息安全问题，不能仅依靠企业的安全设施和网络安全产品，而应该考虑如何提高企业自身的网络安全意识，将信息安全问题提升到重视的高度，要重视“人”的因素。具体表现在以下两个方面：

2.1.1提高安全认识

定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识，企业管理层要制定完整的信息安全策略并贯彻执行，对安全问题要做到预先考虑和防备。

2.2.2要求中小企业在上网的过程中要做到“一做三不要”

首先将存有重要数据的电脑坚决同网络隔离，同时设置开机密码，并将软驱、硬盘加密锁定，进行三级保护，其次不要在自己的系统之内使用任何具有记忆命令的程序，因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切，同时不在网上的任何场合下随意透露自己企业的任何安全信息，最后不要启动系统资源共享功能，要尽量减少企业资源暴露在外部网上的机会和次数，减少黑客进攻的机会【1】。

2.2从网络安全角度考虑

2.2.1从网络安全服务商的角度来说，服务商要重视中小企业对网络安全解决方案的需要，充分考虑中小企业的现实状况，仔细调查和分析中小企业的安全因素，开发出适合中小企业实际情况的网络安全综合解决方案。此外，还应该注意投入大量精力在安全策略的施行及安全教育的开展方面，这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

2.2.2要用防火墙将企业的局域网（Intranet）与互联网之间进行隔离。由于网络攻击不断升级，对应的防火墙软件也应该及时跟着升级，这样就要求我们企业的网管人员要经常到有P网站上下载最新的补丁程序，以便进行网络维护，同时经常扫描整个内部网络，以发现任何安全隐患并及时更改，才能做到有备无患【2】。

2.2.3企业用户最好自己学会如何调试和管理自己的局域网系统，不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力，提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。

2.2.4内部网络系统的密码要定期修改。动态的密码有助于防止黑客的攻击以及来自内部人员的泄密。

2.2.5要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，可以不定期地在脱机的情况下进行检查和清除。

2.2.6同其它企业进行联合，共同抵制黑客的入侵，一旦被入侵要及时向有关部门汇报，并共同查找入侵来源，锁定黑客IP地址。将网络的TCP起时限制在15分钟以内，减少黑客入侵的机会。并扩大连接表，增加黑客填写整个连接表的难度【3】。

小结

综上所述，我国中小企业的信息安全问题日益突出。由于受到管理水平、资金、技术、 意识等几方面的制约，中小企业完全依靠自己解决所有信息化安全问题是不现实的，它们很难使用大企业中那种复杂的信息安全系统，因此迫切需要适合中小企业自身情况的综合解决措施。

【参考文献】：

【1】 杨江；周小玲； 基于企业的危机信息管理[J]；科技情报开发与经济；2009年32期

【2】 杜向文.中小企业的网络安全[J]；计算机安全；2006，（08）.

【3】 刘晔. 我国企业网络安全现状及解决研究[J]；商场现代化；2007，（08）.